2023年第一期國家注冊ISMS審核員模擬試題-信息安全管理體系含解析

2023年第一期國家注冊ISMS審核員模擬試題—信息安全管理體系一、單項選擇題1、容災(zāi)的目的和實質(zhì)是（）A、數(shù)據(jù)備份B、系統(tǒng)的C、業(yè)務(wù)連續(xù)性管理D、防止數(shù)據(jù)被破壞2、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準(zhǔn)D、以上全部3、以下哪一項不是ITIL所定義的服務(wù)生命周期階段()A、服務(wù)轉(zhuǎn)換B、服務(wù)退役C、服務(wù)設(shè)計D、服務(wù)戰(zhàn)略4、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果5、《信息安全等級保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測評。A、半年B、1年C、1.5年D、2年6、關(guān)于信息安全產(chǎn)品的使用，以下說法正確的是:（）A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術(shù)、關(guān)鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，己列入信息安全產(chǎn)品認(rèn)征目錄的，應(yīng)取得國家信息安全產(chǎn)品人證機(jī)構(gòu)頒發(fā)的認(rèn)證證書C、對于四級以上信息系銃、信息安全廣品研制的主要技術(shù)人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全聲品研制單位須聲明沒有故意留有或設(shè)置漏洞7、依據(jù)GB/T22080,網(wǎng)絡(luò)隔離指的是(）A、不同網(wǎng)絡(luò)運營商之間的隔離B、不同用戶組之間的隔離C、內(nèi)網(wǎng)與外網(wǎng)的隔離D、信息服務(wù)，用戶及信息系統(tǒng)8、ISMS管理評審的輸出應(yīng)包括（）A、可能影響ISMS的任何變更B、以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進(jìn)的建議9、風(fēng)險評價是指（）A、系統(tǒng)地使用信息來識別風(fēng)險來源和評估風(fēng)險B、將估算的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程C、指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D、以上都對10、在信息安全管理中進(jìn)行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓(xùn)C、責(zé)任追查和懲處D、訪問控制11、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過濾D、進(jìn)行流量控制12、在考慮網(wǎng)絡(luò)安全策略時，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個方面提出相應(yīng)的對策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷13、在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定（）A、要做什么，有什么可用資源，由誰負(fù)責(zé)，什么時候開始，如何測量結(jié)果B、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何測量結(jié)果C、要做什么，需要什么資源，由誰負(fù)責(zé)，什么時候完成，如何評價結(jié)果D、要做什么，有什么可用資源，由誰執(zhí)行，什么時候開始，如何評價結(jié)果14、運行SMS和服務(wù)所裾的資源包括()A、人員、技術(shù)、信息和資產(chǎn)B、人員、技術(shù)、材料和資金C、人員、技術(shù)、信息和資金D、人員、資產(chǎn)、信息和資金15、根據(jù)ISO/IEC27001中規(guī)定，在決定講行第二階段審核之間，認(rèn)證機(jī)構(gòu)應(yīng)審查第一階段的審核報告，以便為第二階段選擇具有（）A、所需審核組能力的要求B、客戶組織的準(zhǔn)備程度C、所需能力的審核組成員D、客戶組織的場所分布16、風(fēng)險責(zé)任人是指（）A、具有責(zé)任和權(quán)限管理一項風(fēng)險的個人或?qū)嶓wB、實施風(fēng)險評估的組織的法人C、實施風(fēng)險評估的項目負(fù)責(zé)人或項目任務(wù)責(zé)任人D、信息及信息處理設(shè)施的使用者17、當(dāng)發(fā)生不符合時，組織應(yīng)（）。A、對不符合做出處理，及時地：采取糾正，以及控制措施；處理后果B、對不符合做出反應(yīng)，適用時：采取糾正，以及控制措施：處理后果C、對不符合做出處理，及時地：采取措施，以控制予以糾正；處理后果D、對不符合做出反應(yīng)，適用時：采取措施，以控制予以糾正；處理后果18、管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對其的處理方式不包括(）A、自動恢復(fù)其IP至原綁定狀態(tài)B、斷開網(wǎng)絡(luò)并持續(xù)阻斷C、彈出提示街口對其發(fā)出警告D、鎖定鍵盤鼠標(biāo)19、ISMS關(guān)鍵成功因素之一是用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的（）系統(tǒng)A、報告B、傳遞C、評價D、測量20、對于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險C、必須物理隔離和必須禁止無線網(wǎng)絡(luò)D、以上都對21、考慮不同時段的工作負(fù)數(shù)的差異收費用于(）。A、故障樹分析(FTA）B、可用性計劃C、服務(wù)級別管理D、風(fēng)險分析和管理法22、容量管理的對象包括（）A、服務(wù)器內(nèi)存B、網(wǎng)絡(luò)通信帶寬C、人力資源D、以上全部23、關(guān)于入侵檢測，以下不正確的是：（）A、入侵檢測是一個采集知識的過程B、入侵檢測指信息安全事件響應(yīng)過程C、分析反常的使用模式是入侵檢測模式之一D、入侵檢測包括收集被利用脆弱性發(fā)生的時間信息24、由認(rèn)可機(jī)構(gòu)對認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實驗室從事評審、審核的認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動是（）A、認(rèn)證B、認(rèn)可C、審核D、評審25、信息安全管理體系中提到的“資產(chǎn)責(zé)任人”是指:（）A、對資產(chǎn)擁有財產(chǎn)權(quán)的人B、使用資產(chǎn)的人C、有權(quán)限變更資產(chǎn)安全屬性的人D、資產(chǎn)所在部門負(fù)責(zé)人26、關(guān)于認(rèn)證人員執(zhí)業(yè)要求，以下說法正確的是:A、注冊審核員只能在一個認(rèn)證機(jī)構(gòu)和一個咨詢機(jī)構(gòu)執(zhí)業(yè)B、注冊審核員和認(rèn)證決定人員只能在一個認(rèn)證機(jī)構(gòu)C、注冊審核員只能在一個認(rèn)證機(jī)構(gòu)執(zhí)業(yè)，非注冊的認(rèn)證決定人員不受此限制D、在咨詢機(jī)構(gòu)認(rèn)專職咨詢師的人員，只能在認(rèn)證機(jī)構(gòu)人兼職認(rèn)證決定人員27、組織應(yīng)在相關(guān)（）上建立信息安全目標(biāo)A、組織環(huán)境和相關(guān)方要求B、戰(zhàn)略和意思C、戰(zhàn)略和方針D、職能和層次28、在現(xiàn)場審核時，審核組有權(quán)自行決定變更的事項是（）。A、市核人日B、審核的業(yè)務(wù)范圍C、審核日期D、審核組任務(wù)調(diào)整29、以下對GB/T22081-2016/IS0/IEC27002:2013標(biāo)準(zhǔn)的描述，正確的是（）A、該標(biāo)準(zhǔn)屬于要求類標(biāo)準(zhǔn)B、該標(biāo)準(zhǔn)屬于指南類標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)可用于一致性評估D、組織在建立ISMS時，必須滿足該標(biāo)準(zhǔn)的所有要求30、某公司進(jìn)行風(fēng)險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患、為了處置這個風(fēng)險，公司不再提供無線網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）A、風(fēng)險接受B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險減緩31、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并給予（）信息A、相關(guān)方B、供應(yīng)商C、顧客D、上級機(jī)關(guān)32、關(guān)于顧客滿意，以下說法正確的是：（）A、顧客沒有抱怨，表示顧客滿意B、信息安全事件沒有給顧客造成實質(zhì)性的損失，就意味著顧客滿意C、顧客認(rèn)為其要求己得到滿足，即意味著顧客滿意D、組織認(rèn)為顧客要求己得到滿足，即意味著顧客滿意33、下列哪項對于審核報告的描述是錯誤的?（）A、主要內(nèi)容應(yīng)與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認(rèn)證審核機(jī)構(gòu)審核后，由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對34、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進(jìn)行變更B、執(zhí)行信息安全風(fēng)險評估C、開展內(nèi)部審核D、開展管理評審35、對于可能超越系統(tǒng)和應(yīng)用控制的實用程序,以下做法正確的是（）A、實用程序的使用不在審計范圍內(nèi)B、建立禁止使用的實用程序清單C、緊急響應(yīng)時所使用的實用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實用程序清單36、在根據(jù)組織規(guī)模確定基本審核時間的前提下,下列哪一條屬于增加審核時間的要素?A、其產(chǎn)品/過程無風(fēng)險或有低的風(fēng)險B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動過程D、具有高風(fēng)險的產(chǎn)品或過程37、信息安全管理體系是用來確定（)A、組織的管理效率B、產(chǎn)品和服務(wù)符合有關(guān)法律法規(guī)程度C、信息安全管理體系滿足審核準(zhǔn)則的程度D、信息安全手冊與標(biāo)準(zhǔn)的符合程度38、下列哪個措施不是用來防止對組織信息和信息處理設(shè)施的未授權(quán)訪問的？（）A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作39、下列哪項不是監(jiān)督審核的目的？（）A、驗證認(rèn)證通過的ISMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉(zhuǎn)過程的變化而可能引起的體系的變化C、確認(rèn)是否持續(xù)符合認(rèn)證要求D、做出是否換發(fā)證書的決定40、信息處理設(shè)施的變更管理包括:A、信息處理設(shè)施用途的變更B、信息處理設(shè)施故障部件的更換C、信息處理設(shè)施軟件的升級D、其他選項均正確二、多項選擇題41、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群發(fā)布，申請借貸的會員背景姿料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA,不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圏轉(zhuǎn)化其微信群會討論的信息42、關(guān)于審核委托方，以下說法正確的是：（）A、認(rèn)證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核43、某金融服務(wù)公司為其個人注冊會員提供了借資金和貸款服務(wù)，以下不正確的做法是（）A、公司使用微信群會議，對申請借貸的會員背景資料、借貸額度等進(jìn)行討論評審B、公司使用微信群發(fā)布公司內(nèi)部投資策略文件C、公司要求所有員工簽署NDA，不得泄露會員背景及具體借貸項目信息D、公司要求員工不得向朋友圈轉(zhuǎn)發(fā)其微信群會議上討論的信息44、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風(fēng)險管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模45、根據(jù)《中華人民共和國保守國家秘密法》，下列屬于國家秘密的是（）。A、國家事務(wù)重大決策中的秘密事項B、國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項C、科學(xué)技術(shù)中的秘密事項D、國防建設(shè)和武裝力量活動中的秘密事項46、關(guān)于云計算服務(wù)中的的安全，以下說法不正確的是（）。A、服務(wù)提供方提供身份鑒別能力，云服務(wù)客戶自己定義并實施身份鑒別準(zhǔn)則B、服務(wù)提供方提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則C、云服務(wù)客戶提供身份鑒別能力，服務(wù)提供方定義和實施身份鑒別準(zhǔn)則D、云服務(wù)客戶提供身份鑒別能力，并定義和實施身份鑒別準(zhǔn)則47、以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的是（）。A、輸配電骨干網(wǎng)監(jiān)控系統(tǒng)B、計算機(jī)制造企業(yè)IDC供電系統(tǒng)C、髙等院校網(wǎng)絡(luò)接入設(shè)施D、高鐵信號控制系統(tǒng)48、某游戲開發(fā)公司按客戶的設(shè)計資料構(gòu)建游戲場景和任務(wù)的基礎(chǔ)要素模塊，為方便各項目組討論，公司創(chuàng)建了一個sharefolder,在此文件夾中又為對應(yīng)不同客戶的項目組創(chuàng)建了項目數(shù)據(jù)子文件夾以下做法正確的是（）A、各項目人員訪問該sharefolder需要得到授權(quán)B、獲得sharefolder訪問權(quán)者可訪問該目錄下所有子文件夾C、IT人員與各項目負(fù)責(zé)人共同定期評審sharefolder訪問權(quán)D、H人員不定期刪除sharefolder數(shù)據(jù)以釋放容量，此活動是容量管理，游戲開發(fā)人員不參與49、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理50、以下屬于訪問控制的是（)。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品査殺病毒51、組織建立的信息安全目標(biāo)，應(yīng)（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當(dāng)時更新52、以下屬于訪問控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問權(quán)限B、防火墻基于IP過濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對不同VLAN間的訪問D、病毒產(chǎn)品查殺病毒53、關(guān)鍵信息基礎(chǔ)設(shè)施包括三大部分，分別是（）。A、關(guān)鍵基礎(chǔ)設(shè)施B、基礎(chǔ)信息網(wǎng)絡(luò)C、重要信息系統(tǒng)D、重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)54、以下屬于信息安全事態(tài)或事件的是:（）A、服務(wù)、設(shè)備或設(shè)施的丟失B、系統(tǒng)故障或超負(fù)載C、物理安全要求的違規(guī)D、安全策略變更的臨時通知55、在信息安全事件管理中，（）是員工應(yīng)該完成的活動。A、報告安全方面的漏洞或弱點B、對漏洞進(jìn)行修補(bǔ)C、發(fā)現(xiàn)并報告安全事件D、發(fā)現(xiàn)立即處理安全事件三、判斷題56、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。正確錯誤57、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）正確錯誤58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）正確錯誤59、訪問控制列表指由主體以及主體對客體的訪問權(quán)限所組成列表。正確錯誤60、《中華人民共和國網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)運營者”，指網(wǎng)絡(luò)服務(wù)提供者，不包括其他類型的網(wǎng)絡(luò)所有者和管理者。（）正確錯誤61、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。正確錯誤62、《中華人民共和國網(wǎng)絡(luò)安全法》是2017年1月1日開始實施的（）正確錯誤63、較低的恢復(fù)時間目標(biāo)會有更長的中斷時間。（）正確錯誤64、信息安全風(fēng)險準(zhǔn)則包括風(fēng)險接受準(zhǔn)則和風(fēng)險評價準(zhǔn)則。（）正確錯誤65、對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險。（）正確錯誤

參考答案一、單項選擇題1、C2、D3、B4、C5、D6、B7、D8、C9、B10、B11、A12、B13、C14、C15、C16、A17、D18、D19、D20、B21、B22、D23、B24、B25、C26、B27、D28、D29、B30、B31、A32、C33、A34、B35、D36、D37、C38、B39、D40、D解析:信息處理設(shè)施，任何的信息處理系統(tǒng)，服務(wù)或基礎(chǔ)設(shè)施，或其安裝的物理位置，abc選項均屬于信息處理設(shè)施變更管理范疇，故選D二、多項選擇題41、A,B42、B,C,D43、A,B解析:參考270013,2信息傳輸，不宜通過微信等不安全的通信方式傳輸商業(yè)秘密，本題選AB44、A,B,C,D45、